
《信息系统安全》PPT课件.ppt
23页信信 息息 系系 统统 安安 全全第六讲第六讲 数据库安全数据库安全张焕国张焕国武汉大学计算机学院武汉大学计算机学院目 录1 1 1 1、、、、信息系统安全信息系统安全信息系统安全信息系统安全的基本概念的基本概念的基本概念的基本概念2 2 2 2、、、、密码学密码学密码学密码学(1)(1)(1)(1)3 3 3 3、、、、密码密码密码密码学学学学(2)(2)(2)(2)4 4 4 4、操作系统安全、操作系统安全、操作系统安全、操作系统安全(1)(1)(1)(1)5 5 5 5、、、、操作系统安全操作系统安全操作系统安全操作系统安全(2)(2)(2)(2)6 6 6 6、、、、数据库安全数据库安全数据库安全数据库安全(1)(1)(1)(1)7 7 7 7、数据库、数据库、数据库、数据库安全安全安全安全(2)(2)(2)(2)8 8 8 8、可信计算、可信计算、可信计算、可信计算(1)(1)(1)(1)9 9 9 9、可信计算、可信计算、可信计算、可信计算(2)(2)(2)(2)一、数据库安全的概念一、数据库安全的概念1 1、数据库安全的重要性、数据库安全的重要性l l数据库是重要的应用软件。
数据库是重要的应用软件数据库是重要的应用软件数据库是重要的应用软件l l数据库集中存储和管理着大量的重要数据,数据库集中存储和管理着大量的重要数据,数据库集中存储和管理着大量的重要数据,数据库集中存储和管理着大量的重要数据,如军事、政治、金融等数据如军事、政治、金融等数据如军事、政治、金融等数据如军事、政治、金融等数据l l数据库成为不法分子攻击的主要目标数据库成为不法分子攻击的主要目标数据库成为不法分子攻击的主要目标数据库成为不法分子攻击的主要目标l l数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操作,而且存储的数据量大、时间长是其重要作,而且存储的数据量大、时间长是其重要作,而且存储的数据量大、时间长是其重要作,而且存储的数据量大、时间长是其重要特点l l数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点一、数据库安全的概念一、数据库安全的概念2 2、数据库加密的困难性、数据库加密的困难性l l对数据库加密是确保数据安全的重要措施。
对数据库加密是确保数据安全的重要措施对数据库加密是确保数据安全的重要措施对数据库加密是确保数据安全的重要措施l l数据量大,要求加解密速度快数据量大,要求加解密速度快数据量大,要求加解密速度快数据量大,要求加解密速度快l l数据存储时间长,为了安全密钥应经常更换,数据存储时间长,为了安全密钥应经常更换,数据存储时间长,为了安全密钥应经常更换,数据存储时间长,为了安全密钥应经常更换,需要对数据解密再加密很麻烦如不经常更需要对数据解密再加密很麻烦如不经常更需要对数据解密再加密很麻烦如不经常更需要对数据解密再加密很麻烦如不经常更换密钥,时间一长就可能不安全换密钥,时间一长就可能不安全换密钥,时间一长就可能不安全换密钥,时间一长就可能不安全 l l数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操作,最好能在密文状态下进行上述操作,即作,最好能在密文状态下进行上述操作,即作,最好能在密文状态下进行上述操作,即作,最好能在密文状态下进行上述操作,即需要同态加密需要同态加密需要同态加密需要同态加密。
二、统计数据库的概念二、统计数据库的概念⑴ ⑴ 统计数据库的概念统计数据库的概念l l统计数据库(统计数据库(统计数据库(统计数据库(Statistical databaseStatistical databaseStatistical databaseStatistical database))))是数是数是数是数据库的一种据库的一种据库的一种据库的一种l l统计数据库是一些数据项的集合,其中每个统计数据库是一些数据项的集合,其中每个统计数据库是一些数据项的集合,其中每个统计数据库是一些数据项的集合,其中每个数据项个体都是保密的、不允许访问的,但数据项个体都是保密的、不允许访问的,但数据项个体都是保密的、不允许访问的,但数据项个体都是保密的、不允许访问的,但是访问获得其数据项的统计信息则是允许的是访问获得其数据项的统计信息则是允许的是访问获得其数据项的统计信息则是允许的是访问获得其数据项的统计信息则是允许的l l如,公民健康状况数据库:公民个人的健康如,公民健康状况数据库:公民个人的健康如,公民健康状况数据库:公民个人的健康如,公民健康状况数据库:公民个人的健康状况属于个人隐私,应是保密的(特别是一状况属于个人隐私,应是保密的(特别是一状况属于个人隐私,应是保密的(特别是一状况属于个人隐私,应是保密的(特别是一些领袖人物),但是其统计信息又是应当公些领袖人物),但是其统计信息又是应当公些领袖人物),但是其统计信息又是应当公些领袖人物),但是其统计信息又是应当公开的,如某疾病的发病率等。
开的,如某疾病的发病率等开的,如某疾病的发病率等开的,如某疾病的发病率等二、统计数据库的概念二、统计数据库的概念⑴ ⑴ 统计数据库的概念统计数据库的概念l l又如,公民存款数据库:公民个人的存又如,公民存款数据库:公民个人的存款信息属于个人隐私,应是保密的,但款信息属于个人隐私,应是保密的,但是其统计信息又是应当公开的,如公民是其统计信息又是应当公开的,如公民存款上升率等存款上升率等l l近年来数据挖掘的研究涉及个人隐私保近年来数据挖掘的研究涉及个人隐私保护问题,这与统计数据库安全技术相关护问题,这与统计数据库安全技术相关二、统计数据库的概念二、统计数据库的概念⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型l l把数据库看成是许多记录的集合把数据库看成是许多记录的集合把数据库看成是许多记录的集合把数据库看成是许多记录的集合l l每个记录是一个实体的描述每个记录是一个实体的描述每个记录是一个实体的描述每个记录是一个实体的描述l l每个实体以其具有(或不具有)某些特性而与每个实体以其具有(或不具有)某些特性而与每个实体以其具有(或不具有)某些特性而与每个实体以其具有(或不具有)某些特性而与其他实体相区别。
其他实体相区别其他实体相区别其他实体相区别l l设有设有设有设有k k k k种特征,在记录中用种特征,在记录中用种特征,在记录中用种特征,在记录中用k k k k位二进制位与之相位二进制位与之相位二进制位与之相位二进制位与之相对应用1 1 1 1表示具备该特征,用表示具备该特征,用表示具备该特征,用表示具备该特征,用0 0 0 0表示不具备该表示不具备该表示不具备该表示不具备该特征这样,特征这样,特征这样,特征这样,一个一个一个一个k k k k位二进制数便唯一标识一位二进制数便唯一标识一位二进制数便唯一标识一位二进制数便唯一标识一个实体⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型l l模型:数据库是模型:数据库是模型:数据库是模型:数据库是k k k k位二进制数到实数位二进制数到实数位二进制数到实数位二进制数到实数R R R R的的的的部分函部分函部分函部分函数数数数DCDCDCDC:::: DCDCDCDC::::{0{0{0{0,,,,1}1}1}1}k k k k→R→R→R→Rl l称称称称DCDCDCDC为部分函数是因为对于某些特征的集合,为部分函数是因为对于某些特征的集合,为部分函数是因为对于某些特征的集合,为部分函数是因为对于某些特征的集合,数据库中可能不存在对应的记录。
数据库中可能不存在对应的记录数据库中可能不存在对应的记录数据库中可能不存在对应的记录l l如果对于所有如果对于所有如果对于所有如果对于所有2 2 2 2k k k k个特征组合,数据库中都存在个特征组合,数据库中都存在个特征组合,数据库中都存在个特征组合,数据库中都存在对应的记录,则对应的记录,则对应的记录,则对应的记录,则DCDCDCDC就是全函数就是全函数就是全函数就是全函数二、统计数据库的概念二、统计数据库的概念⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型1 1 1 1、特征刻画模型、特征刻画模型、特征刻画模型、特征刻画模型l l统计函数为统计函数为统计函数为统计函数为f f f f,,,,如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等l l查询以(查询以(查询以(查询以(1 1 1 1,,,,0 0 0 0,,,,1 1 1 1,,,,* * * *)形式提出,其中)形式提出,其中)形式提出,其中)形式提出,其中1 1 1 1表示具有某特表示具有某特表示具有某特表示具有某特征,征,征,征,0 0 0 0表示不具有某特征,表示不具有某特征,表示不具有某特征,表示不具有某特征,* * * *为通配符。
为通配符为通配符为通配符l l查询提出后,数据库首先查找满足查询特征的所有记查询提出后,数据库首先查找满足查询特征的所有记查询提出后,数据库首先查找满足查询特征的所有记查询提出后,数据库首先查找满足查询特征的所有记录如果只有一个记录满足要求,为了避免泄露数据录如果只有一个记录满足要求,为了避免泄露数据录如果只有一个记录满足要求,为了避免泄露数据录如果只有一个记录满足要求,为了避免泄露数据个体,系统将拒绝回答否则,系统对所有满足要求个体,系统将拒绝回答否则,系统对所有满足要求个体,系统将拒绝回答否则,系统对所有满足要求个体,系统将拒绝回答否则,系统对所有满足要求的记录计算统计函数的记录计算统计函数的记录计算统计函数的记录计算统计函数f f f f,并,并,并,并给出统计值给出统计值给出统计值给出统计值二、统计数据库的概念二、统计数据库的概念⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型l l把数据库看成把数据库看成把数据库看成把数据库看成N N N N个记录的集合个记录的集合个记录的集合个记录的集合l l每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号i i i i,,,,称为键。
记录可通过键值来称为键记录可通过键值来称为键记录可通过键值来称为键记录可通过键值来查找l l于是可把数据库看成是键值集合于是可把数据库看成是键值集合于是可把数据库看成是键值集合于是可把数据库看成是键值集合{1{1{1{1,,,,2 2 2 2,,,,............,,,,N}N}N}N}到实到实到实到实数数数数R R R R的全函数:的全函数:的全函数:的全函数:DKDKDKDK::::{ { { {1 1 1 1,,,,2 2 2 2,,,,............,,,,N N N N } } } }→ R→ R→ R→ R二、统计数据库的概念二、统计数据库的概念⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型l l允许的查询是允许的查询是允许的查询是允许的查询是{i{i{i{i1 1 1 1,,,,i i i i2 2 2 2,,,,............,,,,i i i ik k k k}k≥2}k≥2}k≥2}k≥2,,,,j≠mj≠mj≠mj≠m时时时时i i i ij j j j≠i≠i≠i≠im m m m。
因为若因为若因为若因为若k =1k =1k =1k =1,,,,则查询变为则查询变为则查询变为则查询变为{i}{i}{i}{i},,,,这是对记录这是对记录这是对记录这是对记录i i i i的直接访问,的直接访问,的直接访问,的直接访问,这当然是不允许的如果这当然是不允许的如果这当然是不允许的如果这当然是不允许的如果i≠ji≠ji≠ji≠j时时时时i i i ij j j j= = = =i i i im m m m,,,,则攻击者可以用则攻击者可以用则攻击者可以用则攻击者可以用查询查询查询查询{i{i{i{i1 1 1 1,,,,i i i i2 2 2 2,,,,............,,,,i i i ik k k k} } } }来迫使数据库泄露记录来迫使数据库泄露记录来迫使数据库泄露记录来迫使数据库泄露记录i i i il l统计函数为统计函数为统计函数为统计函数为f f f f,,,,如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等如计数、平均值、最大值、最小值等l l系统对查询的回答是系统对查询的回答是系统对查询的回答是系统对查询的回答是f f f f((((DK(DK(DK(DK(i i i i1 1 1 1) ) ) ),,,,DK(DK(DK(DK(i i i i2 2 2 2) ) ) ) ,...,,...,,...,,...,DK(iDK(iDK(iDK(ik k k k))))))))。
二、统计数据库的概念二、统计数据库的概念⑵ ⑵ 统计数据库的理论模型统计数据库的理论模型3 3 3 3、关系模型、关系模型、关系模型、关系模型l l设有属性设有属性设有属性设有属性A A A A1 1 1 1,A,A,A,A2 2 2 2, , , ,…,A…,Ak k他们分别在值域他们分别在值域他们分别在值域他们分别在值域D D1 1,D,D2 2,…,,…,D Dk k上取值,则笛卡上取值,则笛卡上取值,则笛卡上取值,则笛卡儿空间儿空间儿空间儿空间D D1 1×D×D2 2 ×… × ×… × D Dk k的任一的任一的任一的任一子集称为一个关系,记作子集称为一个关系,记作子集称为一个关系,记作子集称为一个关系,记作D Dl l关系数据库可看成是关系数据库可看成是关系数据库可看成是关系数据库可看成是D D到实数到实数到实数到实数R R的部分函数的部分函数的部分函数的部分函数DR DR ::::DR DR ::::D → R D → R l l关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段A A A A1 1 1 1,A,A,A,A2 2 2 2, , , ,…,…,A Ak k所所所所确定。
对数据库的访确定对数据库的访确定对数据库的访确定对数据库的访问是由问是由问是由问是由属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的逻辑表达式所决定的l l称属性字段的逻辑表达式为特征公式称属性字段的逻辑表达式为特征公式称属性字段的逻辑表达式为特征公式称属性字段的逻辑表达式为特征公式l l当满足特征公式的记录只有一个时,系统拒绝回答,否则给出统计当满足特征公式的记录只有一个时,系统拒绝回答,否则给出统计当满足特征公式的记录只有一个时,系统拒绝回答,否则给出统计当满足特征公式的记录只有一个时,系统拒绝回答,否则给出统计值二、统计数据库的概念二、统计数据库的概念三、统计数据库的安全性三、统计数据库的安全性l l由于统计数据库允许访问统计信息而不允许访问个体信由于统计数据库允许访问统计信息而不允许访问个体信由于统计数据库允许访问统计信息而不允许访问个体信由于统计数据库允许访问统计信息而不允许访问个体信息这一特性,使得攻击者可能通过精心策划的多次合法息这一特性,使得攻击者可能通过精心策划的多次合法息这一特性,使得攻击者可能通过精心策划的多次合法息这一特性,使得攻击者可能通过精心策划的多次合法访问,推理求出个体数据,从而攻破数据库。
访问,推理求出个体数据,从而攻破数据库访问,推理求出个体数据,从而攻破数据库访问,推理求出个体数据,从而攻破数据库l l称这种攻击为推理攻击(称这种攻击为推理攻击(称这种攻击为推理攻击(称这种攻击为推理攻击(Inference AttackInference AttackInference AttackInference Attack)l l在推理攻击面前,统计数据库显得十分脆弱在推理攻击面前,统计数据库显得十分脆弱在推理攻击面前,统计数据库显得十分脆弱在推理攻击面前,统计数据库显得十分脆弱三、统计数据库的安全性三、统计数据库的安全性1 1 1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l攻击者在实施攻击前往往已经具有统计数据库一些知识攻击者在实施攻击前往往已经具有统计数据库一些知识攻击者在实施攻击前往往已经具有统计数据库一些知识攻击者在实施攻击前往往已经具有统计数据库一些知识①①①①记录的取值范围,即使是大致的范围;记录的取值范围,即使是大致的范围;记录的取值范围,即使是大致的范围;记录的取值范围,即使是大致的范围;②②②②某些记录的取值;某些记录的取值;某些记录的取值;某些记录的取值;③③③③某一特征的记录存在,某一特征的记录不存在。
某一特征的记录存在,某一特征的记录不存在某一特征的记录存在,某一特征的记录不存在某一特征的记录存在,某一特征的记录不存在l l攻击者获得这些并不难,如学生分数数据库的取值范围攻击者获得这些并不难,如学生分数数据库的取值范围攻击者获得这些并不难,如学生分数数据库的取值范围攻击者获得这些并不难,如学生分数数据库的取值范围是是是是1 1 1 1- - - -100100100100三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l攻击前提:假设已知某一记录值攻击前提:假设已知某一记录值攻击前提:假设已知某一记录值攻击前提:假设已知某一记录值①①①①设已知特征设已知特征设已知特征设已知特征X X X X及其对应记录的取值及其对应记录的取值及其对应记录的取值及其对应记录的取值DCDCDCDC((((X X X X););););②②②②任何与任何与任何与任何与X X X X仅有仅有仅有仅有1 1 1 1位不同的记录位不同的记录位不同的记录位不同的记录Y Y Y Y,,,,都可用一个单都可用一个单都可用一个单都可用一个单* * * *求和查询,求和查询,求和查询,求和查询,求出求出求出求出D= DCD= DCD= DCD= DC((((X X X X))))+ DC+ DC+ DC+ DC((((Y Y Y Y)。
于是可求出于是可求出于是可求出于是可求出DCDCDCDC((((Y Y Y Y)③③③③如果特征如果特征如果特征如果特征Y Y Y Y与与与与X X X X有有有有2 2 2 2位不同,则一定能找到一个位不同,则一定能找到一个位不同,则一定能找到一个位不同,则一定能找到一个Z Z Z Z,使,使,使,使Z Z Z Z与与与与X X X X和和和和Z Z Z Z与与与与Y Y Y Y都只有都只有都只有都只有1 1 1 1位不同于是通过一个单位不同于是通过一个单位不同于是通过一个单位不同于是通过一个单* * * *查询可求出查询可求出查询可求出查询可求出DCDCDCDC((((Z Z Z Z),),),),再用一个单再用一个单再用一个单再用一个单* * * *查询便可求出查询便可求出查询便可求出查询便可求出DCDCDCDC((((Y Y Y Y)类似反类似反类似反类似反复进行,便可求出所有记录值复进行,便可求出所有记录值复进行,便可求出所有记录值复进行,便可求出所有记录值三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l举例:设举例:设举例:设举例:设X=1110X=1110X=1110X=1110,,,,Y=0110Y=0110Y=0110Y=0110,,,,X X X X和和和和Y Y Y Y只有只有只有只有1 1 1 1位不同。
查询位不同查询位不同查询位不同查询((((* * * *110110110110)可得)可得)可得)可得V=DCV=DCV=DCV=DC((((X X X X))))+DC+DC+DC+DC((((Y Y Y Y)V- DCV- DCV- DCV- DC((((X X X X))))= = = = DCDCDCDC((((Y Y Y Y)l l又设,设又设,设又设,设又设,设X=1110X=1110X=1110X=1110,,,,Y=0010Y=0010Y=0010Y=0010,,,,X X X X和和和和Y Y Y Y有有有有2 2 2 2位不同但存在位不同但存在位不同但存在位不同但存在Z=1010Z=1010Z=1010Z=1010,,,,使得使得使得使得X X X X和和和和Z Z Z Z及及及及Z Z Z Z和和和和Y Y Y Y都只有都只有都只有都只有1 1 1 1位不同通过查询位不同通过查询位不同通过查询位不同通过查询((((1*101*101*101*10)可求出)可求出)可求出)可求出DCDCDCDC(((( Z Z Z Z ),),),),再通过查询(再通过查询(再通过查询(再通过查询(* * * *010010010010)可求)可求)可求)可求出出出出DCDCDCDC((((Y Y Y Y)。
l l可以证明,不管把门限提高到多少,都可功破数据库可以证明,不管把门限提高到多少,都可功破数据库可以证明,不管把门限提高到多少,都可功破数据库可以证明,不管把门限提高到多少,都可功破数据库l l还可证明,如果攻击者知道数据库的取值范围,或知道还可证明,如果攻击者知道数据库的取值范围,或知道还可证明,如果攻击者知道数据库的取值范围,或知道还可证明,如果攻击者知道数据库的取值范围,或知道某特征的记录存在或不存在,攻击者都可攻破数据库某特征的记录存在或不存在,攻击者都可攻破数据库某特征的记录存在或不存在,攻击者都可攻破数据库某特征的记录存在或不存在,攻击者都可攻破数据库三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l攻击前提:攻击前提:允许查询允许查询k(K>1)k(K>1)个记录的平均个记录的平均值,即使事先对数据库一无所知值,即使事先对数据库一无所知l l攻击方法攻击方法攻击方法攻击方法1 1 1 1::::解方程解方程解方程解方程①①①①设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为i i i i1 1 1 1,,,,i i i i2 2 2 2,,,,i i i i3 3 3 3,,,,i i i i4 4 4 4 的记录的记录的记录的记录值,于值,于值,于值,于是他提出如下四个求平均值的查询,并得到相应回答:是他提出如下四个求平均值的查询,并得到相应回答:是他提出如下四个求平均值的查询,并得到相应回答:是他提出如下四个求平均值的查询,并得到相应回答:Q Q Q Q1 1 1 1=(=(=(=(i i i i2 2 2 2,,,,i i i i3 3 3 3,,,,i i i i4 4 4 4) ) ) )得到得到得到得到P P P P1 1 1 1=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i2 2 2 2)+ DK()+ DK()+ DK()+ DK(i i i i3 3 3 3)+ DK()+ DK()+ DK()+ DK(i i i i4 4 4 4))))))))Q Q Q Q2 2 2 2=(=(=(=(i i i i1 1 1 1,,,,i i i i3 3 3 3,,,,i i i i4 4 4 4) ) ) )得到得到得到得到P P P P2 2 2 2=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+ DK()+ DK()+ DK()+ DK(i i i i3 3 3 3)+ DK()+ DK()+ DK()+ DK(i i i i4 4 4 4))))))))Q Q Q Q3 3 3 3=(=(=(=(i i i i1 1 1 1,,,,i i i i2 2 2 2,,,,i i i i4 4 4 4) ) ) )得到得到得到得到P P P P3 3 3 3=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+ DK()+ DK()+ DK()+ DK(i i i i2 2 2 2)+ DK()+ DK()+ DK()+ DK(i i i i4 4 4 4))))))))Q Q Q Q4 4 4 4=(=(=(=(i i i i1 1 1 1,,,,i i i i2 2 2 2,,,,i i i i3 3 3 3) ) ) )得到得到得到得到P P P P4 4 4 4=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+ DK()+ DK()+ DK()+ DK(i i i i2 2 2 2)+ DK()+ DK()+ DK()+ DK(i i i i3 3 3 3))))))))三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l写成方程如下:写成方程如下:写成方程如下:写成方程如下:0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(i i i i1 1 1 1) 3P1) 3P1) 3P1) 3P1 1 0 1 1 DK( 1 0 1 1 DK( 1 0 1 1 DK( 1 0 1 1 DK(i i i i1 1 1 1) = 3P1 ) = 3P1 ) = 3P1 ) = 3P1 1 1 0 1 DK( 1 1 0 1 DK( 1 1 0 1 DK( 1 1 0 1 DK(i i i i1 1 1 1) 3P3) 3P3) 3P3) 3P3 1 1 1 0 DK( 1 1 1 0 DK( 1 1 1 0 DK( 1 1 1 0 DK(i i i i1 1 1 1) 3P4) 3P4) 3P4) 3P4l l因为系数矩阵是满秩阵,故解方程可得因为系数矩阵是满秩阵,故解方程可得因为系数矩阵是满秩阵,故解方程可得因为系数矩阵是满秩阵,故解方程可得:::: DK(DK(DK(DK(i i i i1 1 1 1) ) ) ),,,,DK(DK(DK(DK(i i i i2 2 2 2) ) ) ),,,,DK(DK(DK(DK(i i i i3 3 3 3) ) ) ),,,,DK(DK(DK(DK(i i i i4 4 4 4) ) ) ) 的的的的值。
值 三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l攻击方法攻击方法攻击方法攻击方法2 2 2 2::::不用解方程不用解方程不用解方程不用解方程l l设要求设要求设要求设要求DK(DK(DK(DK(i i i i3 3 3 3) ) ) )①①①①首先查询首先查询首先查询首先查询Q Q Q Q1 1 1 1=(=(=(=(i i i i1 1 1 1,,,,i i i i2 2 2 2,,,,i i i i3 3 3 3) ) ) ),,,,得到得到得到得到P P P P1 1 1 1;;;;②②②②其次查询其次查询其次查询其次查询Q Q Q Q2 2 2 2=(=(=(=(i i i i1 1 1 1,,,,i i i i2 2 2 2) ) ) ),,,,得到得到得到得到P P P P2 2 2 2;;;; ③③③③于是,于是,于是,于是,DK(DK(DK(DK(i i i i3 3 3 3)= 3P)= 3P)= 3P)= 3P1 1 1 1- 2P- 2P- 2P- 2P2 2 2 2。
l l可以证明,上述方法和结论对一般情况均成立可以证明,上述方法和结论对一般情况均成立可以证明,上述方法和结论对一般情况均成立可以证明,上述方法和结论对一般情况均成立l l可以证明:除平均值外,诸如几何平均值、最大值、最可以证明:除平均值外,诸如几何平均值、最大值、最可以证明:除平均值外,诸如几何平均值、最大值、最可以证明:除平均值外,诸如几何平均值、最大值、最小值等,只要攻击者对数据库有少量知识(如前),便小值等,只要攻击者对数据库有少量知识(如前),便小值等,只要攻击者对数据库有少量知识(如前),便小值等,只要攻击者对数据库有少量知识(如前),便可将数据库攻破可将数据库攻破可将数据库攻破可将数据库攻破 三、统计数据库的安全性三、统计数据库的安全性3 3、对关系数据库的攻击、对关系数据库的攻击l l在关系数据库中用特征公式来选择所需的记录在关系数据库中用特征公式来选择所需的记录在关系数据库中用特征公式来选择所需的记录在关系数据库中用特征公式来选择所需的记录l l攻击前提:攻击前提:攻击前提:攻击前提:知道特征公式知道特征公式知道特征公式知道特征公式C C C C能能能能唯一确定记录唯一确定记录唯一确定记录唯一确定记录R R R R,,,,但直接用但直接用但直接用但直接用C C C C访问访问访问访问R R R R是不允许的。
是不允许的是不允许的是不允许的①①①①设攻击者能将设攻击者能将设攻击者能将设攻击者能将C C C C分解为两个逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式D D D D和和和和E E E E的的的的乘积,乘积,乘积,乘积,C=DEC=DEC=DEC=DE,,,,T=DE’T=DE’T=DE’T=DE’,,,,E’E’E’E’为为为为E E E E的的的的非,而且非,而且非,而且非,而且T T T T和和和和D D D D都是可合法访问都是可合法访问都是可合法访问都是可合法访问的特征公式;的特征公式;的特征公式;的特征公式;②②②②攻击者通过攻击者通过攻击者通过攻击者通过D D D D,,,, T T T T,,,, T+ DAT+ DAT+ DAT+ DA,,,,三次合法查询可获得三次合法查询可获得三次合法查询可获得三次合法查询可获得;;;;NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(CA)=NU(T+DA)-NU(T) NU(CA)=NU(T+DA)-NU(T) NU(CA)=NU(T+DA)-NU(T) NU(CA)=NU(T+DA)-NU(T) NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T) 其中其中其中其中NUNUNUNU为为为为计数,计数,计数,计数,SUMSUMSUMSUM为为为为求和,求和,求和,求和,A A A A为任一为任一为任一为任一特征公式。
特征公式特征公式特征公式 三、统计数据库的安全性三、统计数据库的安全性3 3、对关系数据库的攻击、对关系数据库的攻击③③③③因为因为因为因为C=DE=D(E+D’)=D(D(E’))’=DT’,C=DE=D(E+D’)=D(D(E’))’=DT’,C=DE=D(E+D’)=D(D(E’))’=DT’,C=DE=D(E+D’)=D(D(E’))’=DT’,又根据又根据又根据又根据T=DE’T=DE’T=DE’T=DE’,,,,故当故当故当故当T T T T为真时必有为真时必有为真时必有为真时必有D D D D为真这说明为真这说明为真这说明为真这说明T T T T所所所所匹配的所有记录匹配的所有记录匹配的所有记录匹配的所有记录全属于全属于全属于全属于D D D D所匹配的记录集合,所以有所匹配的记录集合,所以有所匹配的记录集合,所以有所匹配的记录集合,所以有NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)④④④④因为因为因为因为C=DT’, C=DT’, C=DT’, C=DT’, 所以所以所以所以CA=DT’A=CA=DT’A=CA=DT’A=CA=DT’A=((((T+DAT+DAT+DAT+DA))))T’T’T’T’,,,,所以有所以有所以有所以有NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)⑤⑤⑤⑤由于由于由于由于D D D D包含包含包含包含D D D D((((E’+AE’+AE’+AE’+A))))=T+DA=T+DA=T+DA=T+DA,而,而,而,而T+DAT+DAT+DAT+DA又包含又包含又包含又包含T T T T,,,,因为因为因为因为D D D D和和和和T T T T都是可合法访问的特征公式,所以都是可合法访问的特征公式,所以都是可合法访问的特征公式,所以都是可合法访问的特征公式,所以T+DAT+DAT+DAT+DA也是合法访问也是合法访问也是合法访问也是合法访问的特征公式。
因此上述计算是可以进行的的特征公式因此上述计算是可以进行的的特征公式因此上述计算是可以进行的的特征公式因此上述计算是可以进行的 l l注意:特征公式注意:特征公式注意:特征公式注意:特征公式T=DE’T=DE’T=DE’T=DE’起了很大作用,称为个体跟踪式起了很大作用,称为个体跟踪式起了很大作用,称为个体跟踪式起了很大作用,称为个体跟踪式三、统计数据库的安全性三、统计数据库的安全性4 4、统计数据库的安全增强、统计数据库的安全增强l l以上分析可以看出统计数据库的安全问题是严重的以上分析可以看出统计数据库的安全问题是严重的以上分析可以看出统计数据库的安全问题是严重的以上分析可以看出统计数据库的安全问题是严重的l l问题的根源在于,个体的保密性与数据库要提供精确统问题的根源在于,个体的保密性与数据库要提供精确统问题的根源在于,个体的保密性与数据库要提供精确统问题的根源在于,个体的保密性与数据库要提供精确统计值之间的矛盾计值之间的矛盾计值之间的矛盾计值之间的矛盾l l一种解决思路是牺牲统计值的精确性,换取其安全性一种解决思路是牺牲统计值的精确性,换取其安全性一种解决思路是牺牲统计值的精确性,换取其安全性。
一种解决思路是牺牲统计值的精确性,换取其安全性①①①①采用键模型采用键模型采用键模型采用键模型②②②②对于平均值的查询对于平均值的查询对于平均值的查询对于平均值的查询( ( ( (i i i i1 1 1 1,,,,i i i i2 2 2 2,...,i,...,i,...,i,...,is s s s) ) ) ) ,,,,数据库首先找到数据库首先找到数据库首先找到数据库首先找到键值对应的键值对应的键值对应的键值对应的k k k k个记录个记录个记录个记录,再,再,再,再随机选择随机选择随机选择随机选择V V V V个记录,给出这个记录,给出这个记录,给出这个记录,给出这k+Vk+Vk+Vk+V个记录的平均值个记录的平均值个记录的平均值个记录的平均值 ③③③③适当选择适当选择适当选择适当选择V V V V值,对统计值的精确度影响不大,但攻击者值,对统计值的精确度影响不大,但攻击者值,对统计值的精确度影响不大,但攻击者值,对统计值的精确度影响不大,但攻击者再想通过解方程求出个体记录值却遇到困难再想通过解方程求出个体记录值却遇到困难再想通过解方程求出个体记录值却遇到困难再想通过解方程求出个体记录值却遇到困难。
谢谢 谢!谢! 。












